Alasan mimpi tentang Passkeys runtuh
Mimpi
- Pada 2019, penulis mulai mengembangkan library Webauthn untuk Rust
- Saat itu, ada optimisme bahwa teknologi ini bisa menggantikan kata sandi
- Diharapkan dapat mendukung autentikasi dua faktor, autentikasi tanpa kata sandi, autentikasi tanpa nama pengguna, dan lain-lain
- Library yang dikembangkan penulis memberikan dampak besar pada industri
Tanda-tanda peringatan
- Chrome mendominasi pasar, sehingga jika Chrome tidak mendukungnya, ada masalah bahwa hal itu akan dikeluarkan dari standar
- Authenticator Selection Extension adalah contoh yang mewakili hal ini
- Masalah lain adalah keputusan utama dibuat dalam pertemuan tatap muka yang diadakan di Amerika Serikat
- Situasi yang mengecualikan peserta internasional
Tren penurunan
- Pada 2022, Apple mengumumkan Passkeys
- Pada awalnya tampak dirancang dengan baik, tetapi kemudian lewat presentasi dari pimpinan, Passkey didefinisikan sebagai Resident Key
- Hal ini berakibat mengecualikan security key dengan ruang penyimpanan kecil
- Setelah itu, Passkey berubah menjadi sarana untuk mengurung pengguna di dalam platform
Situasi yang memburuk
- Chrome dan Safari memaksa penggunaan caBLE alih-alih security key
- Metode dengan kegunaan yang sangat buruk
- Android memblokir penggunaan security key di situs web yang mendukung Passkey
- Contoh untuk pengembang diarahkan agar hanya menggunakan Google Passkey
- Pengguna mengalami banyak kesulitan saat menggunakan Passkey
- Muncul masalah seperti bug, proses yang rumit, dan kehilangan key
- Passkey sering terhapus dari Apple Keychain
Prospek
- Penulis memperkirakan Passkey akan gagal untuk konsumen umum
- Pengejaran keuntungan perusahaan merusak pengalaman pengguna
- Bahkan pasangan penulis mengatakan bahwa metode kata sandi lebih baik daripada Passkey
- Di lingkungan perusahaan, security key tetap diperlukan, tetapi masalah kegunaan masih ada
- Penulis tetap akan memelihara proyek webauthn-rs, tetapi sedang mencari pendekatan lain selain Passkey
Pendapat GN⁺
- Cukup mengkhawatirkan bahwa Passkey bergerak ke arah yang menyingkirkan security key dan memperdalam ketergantungan pada platform. Membatasi pilihan pengguna tampaknya bukan arah yang diinginkan.
- Sambil memajukan teknologi, tampaknya juga perlu meningkatkan kegunaan. Seharusnya tidak menjadi terlalu rumit atau terlalu membatasi.
- Meningkatnya pengaruh segelintir perusahaan dan timbulnya masalah dalam proses standardisasi juga tampak sebagai hal yang mendesak untuk diselesaikan. Struktur pengambilan keputusan yang lebih terbuka dan transparan perlu disiapkan.
- Sebagai alternatif, pendekatan sertifikat perangkat atau smart card tampak menarik. Ini bisa menjadi cara untuk mengatasi keterbatasan Passkey yang ada sekaligus meningkatkan kegunaan.
- Karena saat ini masih merupakan tahap transisi, tampaknya perkembangan teknologi yang berkelanjutan dan penyerapan umpan balik pengguna tetap perlu dilakukan ke depan. Diharapkan berbagai pemangku kepentingan dapat bekerja sama untuk membangun sistem autentikasi yang lebih baik.
3 komentar
Masa depan tanpa kata sandi sedang datang
Memperkenalkan Passkey di Chrome
Opini Hacker News
Masalah terbesar dengan Passkeys adalah kita tidak bisa mempercayai perusahaan yang menyediakannya. Secara alasan keamanan memang terkunci ke platform, tetapi dalam banyak kasus sulit dibedakan dari penguncian platform. Jika membuat Passkey di perangkat Apple, passkey itu tidak akan pernah bisa keluar dari perangkat tersebut dan tidak ada cara untuk mengubahnya. Ini memang aman dari phishing, tetapi saya tidak tahu harus bagaimana jika Apple menghapus kuncinya atau jika saya ingin membuang iPhone.
Dalam diskusi panjang tentang Passkeys, terlihat penghindaran yang aneh terhadap aspek keamanan berupa "sesuatu yang Anda ketahui". Di AS, pengadilan dan aparat penegak hukum dapat secara legal memperoleh nama pengguna, sidik jari, pemindaian retina, Face ID, dan sebagainya, tetapi mereka tidak punya hak untuk mengekstrak sesuatu dari otak Anda. Passkeys lebih memilih mengganti "sesuatu yang Anda ketahui" dengan "sesuatu yang Anda miliki", dan itu adalah mimpi buruk bagi keamanan.
Pendapat sebaliknya: Saya suka Passkeys. Saya menggunakan browser Firefox dan pengelola 1Password, dan di iPhone saya menggunakan 1Password + Firefox. Saya melihat passkeys.directory lalu mengubah login GitHub, Google, Microsoft, dan lainnya ke Passkeys. Istilah seperti "Masuk dengan Passkey" alih-alih "Masuk dengan Touch ID" dan sejenisnya terasa membingungkan. 1Password menyinkronkan Passkeys antarperangkat. Jika perlu login di komputer publik itu bisa merepotkan, tetapi saya tidak terlalu sering melakukannya.
Saya masih menghindari Passkeys karena belum ada model mental yang jelas. Saya sudah memakai kata sandi acak yang dibuat oleh pengelola kata sandi yang ada, jadi saya tidak merasa perlu beralih. Nama pengguna/email + kata sandi itu saya pahami, tetapi mengingat repotnya "kata sandi khusus aplikasi", saya khawatir beberapa alat open source/CLI tidak akan terintegrasi dengan baik dengan Passkeys, jadi lebih baik menunggu sampai situasinya stabil.
Saya sudah sepenuhnya masuk ke ekosistem Apple Keychain dan punya beberapa perangkat Apple, jadi Passkeys sangat bagus. Sebagai developer, saya setiap hari menghadapi keterbatasan SMS 2FA yang rapuh. Pengguna mudah sekali tertipu lewat rekayasa sosial dan menyerahkan kode 2FA mereka. Passkeys memberi solusi yang lebih aman sehingga developer tidak perlu khawatir pengguna menelepon CS lalu membacakannya keras-keras. Passkey tidak rusak karena SIM swapping, dan Passkey tidak bisa dibagikan ke penipu.
Sebagai orang teknis, saya tidak benar-benar paham bagaimana Passkeys bekerja, mengapa lebih baik, dan tepatnya apa itu. Jika fitur keamanan tidak sesederhana mengingat nama pengguna dan kata sandi lalu menyimpannya di tempat aman, itu tidak akan berhasil. Ada penyebutan tentang kunci yang ada di perangkat, jadi saya penasaran bagaimana cara mengaksesnya saat memakai ponsel dan PC sekaligus, apakah awalnya tetap butuh nama pengguna/kata sandi, dan apakah perlu kunci yang harus dicolokkan ke perangkat.
Usernameless terasa seperti optimisasi berlebihan. Masuk akal dan bagus jika pengguna memakai nama pengguna saat login. Itu mengingatkan mereka nama pengguna apa yang mereka pakai. Bisa saja terjadi situasi ketika pengguna mengakses layanan dengan Usernameless Passkey lalu karena suatu alasan kehilangan Passkey tersebut, dan juga lupa nama pengguna untuk layanan itu sehingga tidak bisa memulai proses pemulihan akun.
Bagi yang belum tahu cara kerja teknis Passkeys, panduan implementasi berikut layak dilihat: https://webauthn.guide/ Saya tidak mengerti kebencian terhadap Passkeys. Beralih ke tantangan kunci publik untuk autentikasi adalah kemajuan besar bagi keamanan web. Setiap browser/OS melindungi dan mencadangkan kunci privat. Bahkan jika kuncinya hilang, Anda masih bisa memakai alur "lupa kata sandi" untuk mereset kredensial autentikasi.
Untuk mempertimbangkan penggunaan Passkeys, syarat berikut harus terpenuhi:
Saya belum memeriksa apakah implementasi WebAuthn di Firefox atau Chrome di Linux memenuhi persyaratan ini.
Saya berusaha mengikuti perkembangan di ranah 2FA, tetapi Passkeys adalah yang paling membingungkan. Saya sering melihat hype bahwa Passkeys adalah teknologi generasi berikutnya, tetapi sulit menemukan penjelasan tentang apa sebenarnya itu dan bagaimana cara kerjanya. Saya kecewa saat tahu bahwa itu adalah kunci yang disimpan di security key. Saya suka gagasan membuat kunci secara langsung berdasarkan nama domain. Keuntungan Passkeys adalah Anda tidak perlu mengingat nama pengguna yang dipakai di situs web, tetapi itu keuntungan yang sepele.
Jawaban untuk pertanyaan terkait tentang apa nama resmi teknologi yang menghitung dan merekonstruksi kunci secara langsung berdasarkan nama domain (berbasis FIDO2? berbasis WebAuthn?) saya temukan di: https://fy.blackhats.net.au/blog/… Kunci yang direkonstruksi secara langsung itu disebut "non-resident credential".